Account hijacking using "dirty dancing" in sign-in OAuth-flows - Labs Detectify
Account hijacking using “dirty dancing” in sign-in OAuth-flows Combining response-type switching, invalid state and redirect-uri quirks using OAuth, with third-party javascript-inclusions has multiple vulnerable scenarios where authorization codes or tokens could leak to an attacker. This could be used in attacks for single-click account takeovers. Frans Rosén, Security Advisor at Detectify goes t
リダイレクト URI の前方一致 - Qiita
はじめに OAuth 2.0 の認可レスポンスは、登録済みの『リダイレクト URI』宛に返却されます。詳細は『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』を参照してください。 複数のリダイレクト URI が登録されている場合、どのリダイレクト URI に認可レスポンスを返して欲しいかを、認可リクエスト時に指定する必要があります。この目的のために、redirect_uri リクエストパラメーターが用いられます。 認可サーバーは、redirect_uri リクエストパラメーターで指定された URI が、事前登録されたリダイレクト URI のいずれかに一致するかどうかを確認します。この「一致」について、「前方一致のサポートは可能か?」との質問を受けることが稀にあるので、見解を述べさせていただこうと思います。 OpenID Connect のケース ID トークンを発行するなど
Blog|フィッシングや情報漏洩に繋がる攻撃 オープンリダイレクトの概要と対策
オープンリダイレクト(Open Redirect)攻撃は、リダイレクト処理の実装不備を悪用し、被害者となるユーザを意図しない URL に誘導をする攻撃手法・脆弱性です。 意図しないリダイレクトを発生させるだけですと、大きな問題は起こせないと思われるかもしれませんが、正規ドメインから悪性ドメインへ意図しない誘導を行える場合、フィッシング詐欺などに悪用される可能性があります。 フィッシング詐欺に悪用された際のオープンリダイレクトは、危険度が高まります。 本記事では、オープンリダイレクトの原因と対策について触れたあと、対策方法や、開発者としてこのオープンリダイレクトを見つける方法についてご紹介します。 また、オープンリダイレクトを使った高度な攻撃手法(OAuth2 を狙ったオープンリダイレクト)の例について解説します。 オープンリダイレクトの概要 オープンリダイレクトは、「正規サービスのドメイ
OAuth 2.0 Security Best Current Practice
OAuth 2.0 Security Best Current Practice Abstract This document describes best current security practice for OAuth 2.0. It updates and extends the OAuth 2.0 Security Threat Model to incorporate practical experiences gathered since OAuth 2.0 was published and covers new threats relevant due to the broader application of OAuth 2.0.¶ Status of This Memo This Internet-Draft is submitted in full confor
配布物にOAuth2で利用するclient_secretを含むことのリスク - Qiita
突然のメール AtomでGmailにOAuth2でアクセスするためのパッケージのソースにclient_secret.jsonをつけていることについて、「i saw what might be some private credentials.」なるメールが届いたのが数日前。 英語に詳しくないのだが、多分「プライベートな認証情報が丸見えやで。」っていう意味に取れる。 配布前にも少し悩んだのだが、もう一度client_secret.jsonを配布物に含むことで発生するリスクと考えられる対応方法などを素人なりにまとめてみて、識者からの教えを請いたいと思う。 client_secretを悪用されてのリスク client_secretの乗っ取り まずすぐに思いつくのがこれ。 同じような名前のパッケージを作り、Scopeとソースの一部を書き換えれば例えばユーザーのメール全てを読み書きすることが出来ると
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
API提供におけるOAuthの役割 #apijp
http://www.machu.jp/posts/20110722/p01/